{"id":1856,"date":"2021-06-29T11:00:23","date_gmt":"2021-06-29T09:00:23","guid":{"rendered":"https:\/\/mikadmin.fr\/blog\/?p=1856"},"modified":"2023-10-28T13:40:35","modified_gmt":"2023-10-28T11:40:35","slug":"linux-privilege-escalation-docker-group","status":"publish","type":"post","link":"https:\/\/mikadmin.fr\/blog\/linux-privilege-escalation-docker-group\/","title":{"rendered":"Linux Privilege Escalation : Docker Group"},"content":{"rendered":"<\/span> 3<\/span> min read<\/span><\/span>

Views: 1310<\/p>\n

<\/div>\n\n\n
\n
\"docker<\/figure>\n<\/div>\n\n\n
<\/div>\n\n\n\n

\ud83d\udea9 Dans cet article Docker Group LPE<\/strong>, nous allons passer d’un utilisateur lambda<\/strong> sans droits mais dans le groupe docker<\/span><\/strong> \u00e0 l’utilisateur root<\/strong> \u00e0 l’aide d’une mauvaise configuration<\/strong> et utilisation de docker<\/a>.<\/p>\n\n\n\n

\n\n\n\n

Docker Group Privilege Escalation :<\/h2>\n\n\n\n
<\/div>\n\n\n\n

\ud83e\uddfe Afin de r\u00e9aliser cette attaque, j’ai install\u00e9 une machine Linux<\/span><\/strong> ayant d\u00e9j\u00e0 docker<\/span><\/strong> de pr\u00e9install\u00e9 \u00e0 l’aide de ce tutoriel<\/a> suivant et en mettant l’utilisateur ubuntu18<\/span><\/strong> dans le groupe docker<\/span><\/strong> \u00e0 ce moment de l’installation :<\/p>\n\n\n\n

<\/div>\n\n\n
\n
\"\"\/<\/figure>\n<\/div>\n\n\n
<\/div>\n\n\n\n

Comme pr\u00e9vu notre utilisateur fait bien parti du groupe docker<\/span><\/strong> !<\/p>\n\n\n\n

<\/div>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n
<\/div>\n\n\n\n

Ce qui nous permet d’utiliser docker<\/span><\/strong> compl\u00e8tement avec cet utilisateur et donc de monter le volume h\u00f4te sur l’un de nos conteneurs.<\/p>\n\n\n\n

\n\n\n\n

<\/p>\n\n\n\n

Premier cas<\/h2>\n\n\n\n
<\/div>\n\n\n\n

\u26a0\ufe0f Dans ce premier cas, nous partons du principe que nous avons un acc\u00e8s sur la machine direct<\/strong> et qu’elle a bien acc\u00e8s \u00e0 internet<\/strong> sans r\u00e8gles sp\u00e9cifiques au niveau du firewall<\/span><\/strong>.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Nous allons tout simplement pull<\/strong> une image comme par exemple celle d’ubuntu<\/strong> qui n’est pas pr\u00e9sente sur la machine c’est donc pour cette raison que nous avons besoin d’un acc\u00e8s r\u00e9seau vers le docker hub<\/strong>.<\/span><\/p>\n\n\n\n

<\/div>\n\n\n\n
docker run -v \/:\/mnt -it ubuntu<\/code><\/pre>\n\n\n
\n
\"docker<\/figure>\n<\/div>\n\n\n
<\/div>\n\n\n\n
Gr\u00e2ce \u00e0 ceci nous pouvons lire le fichier pr\u00e9sent dans \/root<\/strong> et prouvant la r\u00e9ussite de cette technique :<\/p>\n\n\n\n
<\/div>\n\n\n
\n
\"docker<\/figure>\n<\/div>\n\n\n
<\/div>\n\n\n\n
\ud83d\udccc Il est possible apr\u00e8s \u00e7a de changer\/supprimer le hash de l’utilisateur root dans le fichier \/etc\/shadow<\/strong> et \u00e9galement de cr\u00e9er une cl\u00e9 ssh<\/strong> pour ce m\u00eame utilisateur.<\/p>\n\n\n\n
\n\n\n\n
Second cas<\/h2>\n\n\n\n
<\/div>\n\n\n\n
\u26a0\ufe0f Dans notre second cas, nous partons du principe que nous sommes dans un CTF<\/strong> et connect\u00e9 via VPN<\/strong> et donc nous ne pouvons pas sortir sur internet, en g\u00e9n\u00e9ral une image est pr\u00e9sente volontairement pour nous permettre d’exploiter cette technique.<\/p>\n\n\n\n
<\/div>\n\n\n\n
J’ai donc volontairement pull l’image alpine<\/strong> et r\u00e9p\u00e9ter la m\u00eame m\u00e9thode que le premier cas.<\/p>\n\n\n\n
<\/div>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n
<\/div>\n\n\n\n
Et c’est parti pour la m\u00eame op\u00e9ration mais avec l’image alpine locale<\/strong> d\u00e9j\u00e0 pr\u00e9sente sur la machine cible.<\/p>\n\n\n\n
docker run -v \/:\/mnt -it alpine<\/code><\/pre>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n
<\/div>\n","protected":false},"excerpt":{"rendered":"
<\/span>  3<\/span> min read<\/span><\/span>In this article, we will go from a lambda user with no rights but in the docker group to the root user using a wrong configuration and use of docker. Continuer la lecture →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":1860,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[4,3],"tags":[21,27,5,9,45],"class_list":["post-1856","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-infosec","category-system","tag-ctf","tag-docker","tag-infosec","tag-linux","tag-pentest"],"aioseo_notices":[],"post_mailing_queue_ids":[],"_links":{"self":[{"href":"https:\/\/mikadmin.fr\/blog\/wp-json\/wp\/v2\/posts\/1856","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mikadmin.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mikadmin.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mikadmin.fr\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/mikadmin.fr\/blog\/wp-json\/wp\/v2\/comments?post=1856"}],"version-history":[{"count":1,"href":"https:\/\/mikadmin.fr\/blog\/wp-json\/wp\/v2\/posts\/1856\/revisions"}],"predecessor-version":[{"id":2971,"href":"https:\/\/mikadmin.fr\/blog\/wp-json\/wp\/v2\/posts\/1856\/revisions\/2971"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mikadmin.fr\/blog\/wp-json\/wp\/v2\/media\/1860"}],"wp:attachment":[{"href":"https:\/\/mikadmin.fr\/blog\/wp-json\/wp\/v2\/media?parent=1856"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mikadmin.fr\/blog\/wp-json\/wp\/v2\/categories?post=1856"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mikadmin.fr\/blog\/wp-json\/wp\/v2\/tags?post=1856"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}